File Carving
Técnica forense que permite recuperar archivos eliminados o fragmentados buscando firmas de archivo (headers y footers) en el espacio no asignado del disco, sin depender del sistema de archivos.
¿Qué es File Carving?
File carving es una técnica de análisis forense digital que permite recuperar archivos eliminados, fragmentados o corruptos buscando directamente en el contenido raw del disco, sin depender del sistema de archivos. El nombre proviene de “esculpir” (carve) los archivos del flujo de datos del disco, identificándolos por sus firmas características.
A diferencia de la recuperación tradicional que depende de los metadatos del sistema de archivos (tabla de asignación FAT, MFT de NTFS, inodos de ext4), el file carving funciona incluso cuando estas estructuras han sido dañadas, formateadas o deliberadamente eliminadas como parte de técnicas anti-forense.
Esta técnica es fundamental en investigaciones forenses cuando se sospecha que se han eliminado archivos incriminatorios, ya que permite recuperar documentos, imágenes, vídeos y otros ficheros que el usuario creía permanentemente destruidos.
Analogía práctica
Imagina un libro cuyo índice ha sido arrancado. La recuperación tradicional necesita el índice para encontrar capítulos. El file carving lee todo el libro página a página buscando dónde empieza y termina cada capítulo por su contenido, sin necesitar el índice.
Fundamentos técnicos del file carving
Firmas de archivo (Magic Numbers)
Cada tipo de archivo tiene una firma única al inicio (header) y, a menudo, al final (footer):
| Tipo de archivo | Header (hexadecimal) | Footer |
|---|---|---|
| JPEG | FF D8 FF | FF D9 |
| PNG | 89 50 4E 47 0D 0A 1A 0A | 49 45 4E 44 AE 42 60 82 |
25 50 44 46 (%PDF) | %%EOF | |
| ZIP | 50 4B 03 04 | 50 4B 05 06 |
| DOCX | 50 4B 03 04 (es ZIP) | - |
| MP4 | 00 00 00 XX 66 74 79 70 | - |
| SQLite | 53 51 4C 69 74 65 | - |
Algoritmos de carving
Existen diferentes enfoques para realizar file carving:
Header-Footer Carving: El método más básico. Busca el header, luego el footer correspondiente, y extrae todo lo que hay entre ambos. Funciona bien para archivos contiguos.
Header-Maximum Size: Cuando no existe footer definido, se extrae desde el header hasta un tamaño máximo predefinido. Útil para formatos sin delimitador final claro.
Carving basado en estructura: Analiza la estructura interna del archivo (chunks, tablas, metadatos) para determinar dónde termina. Más preciso pero más lento.
Carving semántico: Utiliza conocimiento del formato para validar que el contenido extraído es coherente, descartando falsos positivos.
El problema de la fragmentación
El mayor desafío del file carving es la fragmentación. Cuando un archivo está almacenado en bloques no contiguos del disco:
Archivo original: [Bloque A][Bloque B][Bloque C]
En disco fragmentado: [Bloque A]...[Bloque C]...[Bloque B]El carving simple header-footer fallaría, extrayendo solo el Bloque A o mezclando datos incorrectos. Las herramientas avanzadas intentan reensamblar fragmentos, pero con éxito variable.
Limitación crítica
El file carving de archivos muy fragmentados tiene tasas de éxito bajas. Un archivo Word de 50 páginas fragmentado en 20 bloques dispersos raramente se recupera completo. Imágenes y vídeos fragmentados muestran corrupción visual parcial.
Proceso de file carving paso a paso
Adquisición de imagen forense
Antes de cualquier carving, se crea una imagen forense bit a bit del disco original:
dc3dd if=/dev/sda of=evidence.dd hash=sha256 log=acquisition.logIdentificación del espacio objetivo
El carving se centra en:
- Espacio no asignado (unallocated space)
- Espacio slack (fragmentos no usados de clusters)
- Particiones eliminadas
- Áreas del disco sin sistema de archivos
Configuración de firmas
Se seleccionan las firmas de archivo relevantes para la investigación. Buscar todos los tipos posibles es ineficiente; se priorizan según el caso.
Ejecución del carving
La herramienta escanea sector por sector buscando coincidencias con las firmas configuradas.
Validación de resultados
Los archivos recuperados se verifican:
- ¿El archivo se abre correctamente?
- ¿El contenido es coherente?
- ¿El tamaño es razonable?
- ¿Hay corrupción parcial?
Documentación forense
Se registra cada archivo recuperado con:
- Offset de origen en la imagen
- Hash del archivo extraído
- Estado de integridad
- Relevancia para la investigación
Herramientas de file carving
Scalpel
Herramienta open source derivada de Foremost, optimizada para velocidad:
# Instalación
sudo apt install scalpel
# Editar firmas en /etc/scalpel/scalpel.conf
# Descomentar tipos de archivo deseados
# Ejecutar carving
scalpel -c /etc/scalpel/scalpel.conf -o output/ evidence.ddScalpel destaca por su velocidad y bajo consumo de memoria, ideal para discos grandes.
Foremost
Desarrollado originalmente por la Oficina de Investigaciones Especiales de la Fuerza Aérea de EEUU:
# Carving con configuración por defecto
foremost -t all -i evidence.dd -o output/
# Solo imágenes
foremost -t jpg,png,gif -i evidence.dd -o output/PhotoRec
A pesar del nombre, recupera más de 480 formatos de archivo:
# Modo interactivo
photorec evidence.dd
# Modo línea de comandos
photorec /d output/ /cmd evidence.dd partition_none,options,mode_ext2,fileopt,everything,enable,searchPhotoRec tiene excelente soporte para formatos multimedia y documentos Office.
Autopsy
Autopsy integra file carving en su pipeline de análisis:
- Add Data Source → seleccionar imagen
- En Ingest Modules, activar “PhotoRec Carver”
- Configurar tipos de archivo objetivo
- Los archivos recuperados aparecen en “Carved Files”
La ventaja de Autopsy es la integración con el resto del análisis forense: los archivos carved se indexan, se les calcula hash, y se pueden analizar con otros módulos.
Bulk Extractor
Especializado en extraer datos estructurados (emails, URLs, números de tarjeta, etc.) además de archivos:
bulk_extractor -o output/ -E all evidence.ddCaso práctico: Recuperación de evidencia en caso de fraude
Situación: Se investiga a un empleado sospechoso de filtrar información confidencial a la competencia. El ordenador corporativo fue “reseteado a fábrica” antes de devolverlo.
Análisis forense:
Adquisición: Se crea imagen forense del disco con Guymager en entorno CAINE Linux
Análisis inicial: El sistema de archivos muestra Windows 11 recién instalado. Aparentemente limpio.
File carving del espacio no asignado:
photorec /d /casos/fraude/carved/ /cmd evidence.E01 searchResultado: 3.847 archivos recuperados
Filtrado de resultados:
- 2.100 archivos de sistema (descartados por hash NSRL)
- 1.200 imágenes personales
- 547 documentos Office/PDF
Hallazgos críticos:
- 23 documentos PDF con marca de agua “CONFIDENCIAL”
- 15 hojas Excel con datos de clientes
- 8 emails exportados (.eml) con adjuntos a competidor
- Fragmentos de conversaciones WhatsApp (base de datos SQLite parcial)
Validación: Los documentos recuperados coinciden con los reportados como filtrados por la empresa
Resultado: El file carving recuperó evidencia que el empleado creía destruida con el reseteo de fábrica. El informe pericial documentó la metodología y los archivos fueron admitidos como prueba.
Limitaciones técnicas del file carving
SSDs y TRIM
Los discos SSD modernos con TRIM activado representan el mayor obstáculo para file carving:
- TRIM: Cuando se borra un archivo, el sistema operativo notifica al SSD qué bloques ya no se usan
- Garbage Collection: El SSD borra físicamente esos bloques para optimizar escrituras futuras
- Resultado: El espacio “no asignado” está realmente vacío (ceros), sin datos que recuperar
TRIM y recuperación
En un SSD con TRIM activado (por defecto en Windows 7+, macOS, Linux modernos), el file carving de archivos borrados tiene éxito casi nulo. Solo funciona si: (1) TRIM está desactivado, (2) el archivo se borró muy recientemente, o (3) el SSD está lleno y no ha podido ejecutar garbage collection.
Archivos cifrados
El file carving no puede recuperar el contenido útil de archivos cifrados:
- Cifrado de disco completo (BitLocker, FileVault): Todo el espacio no asignado está cifrado
- Archivos cifrados individualmente: Se recuperan pero son ilegibles sin la clave
- Contenedores cifrados (VeraCrypt): Aparecen como datos aleatorios
Sobrescritura
Si el espacio donde estaba un archivo ha sido reutilizado para otros datos, la recuperación es imposible:
Estado 1: [Archivo A][Archivo B][Espacio libre]
Estado 2: [Archivo A][Archivo C sobrescribe B][Espacio libre]
→ Archivo B irrecuperableFalsos positivos
Las firmas de archivo pueden aparecer accidentalmente dentro de otros archivos o en datos aleatorios:
- Un JPEG incrustado en un documento Word tiene firma JPEG
- Datos comprimidos pueden contener secuencias que parecen firmas
- La validación posterior es esencial para filtrar falsos positivos
File carving en el marco legal español
Admisibilidad de archivos recuperados
Los archivos recuperados mediante file carving son admisibles como prueba en tribunales españoles siempre que:
- Cadena de custodia: La cadena de custodia de la imagen forense original esté documentada
- Metodología reproducible: El proceso de carving pueda ser replicado por otro perito
- Integridad verificable: Se documente el hash del archivo recuperado y su offset de origen
- Interpretación experta: Un perito informático explique el proceso y valide los hallazgos
Jurisprudencia relevante
La STS 300/2015 establece que “la evidencia digital obtenida mediante técnicas forenses reconocidas, incluyendo la recuperación de archivos eliminados, tiene pleno valor probatorio cuando se garantiza su autenticidad e integridad”.
El file carving, como técnica forense estándar reconocida internacionalmente, cumple estos requisitos cuando se ejecuta correctamente.
Relación con otros conceptos
- Imagen forense: Prerequisito obligatorio antes de cualquier carving
- Autopsy: Herramienta que integra file carving en su análisis
- Sleuth Kit: Framework que proporciona herramientas base para carving
- TRIM SSD: Tecnología que limita drásticamente la efectividad del carving
- Anti-forense: Técnicas que intentan evitar la recuperación mediante carving
Conclusión
El file carving es una técnica fundamental en el arsenal del perito informático forense, permitiendo recuperar archivos que se creían permanentemente eliminados. Su efectividad depende del tipo de almacenamiento (mucho mejor en HDDs que SSDs), el tiempo transcurrido desde la eliminación, y el nivel de fragmentación de los archivos.
Para investigaciones donde se sospecha eliminación deliberada de evidencia, el file carving del espacio no asignado es un paso obligatorio del análisis forense. Sin embargo, sus limitaciones técnicas deben comunicarse claramente: no es magia, y hay escenarios donde la recuperación es técnicamente imposible.
Última actualización: Enero 2026 Categoría: Técnico Código: ANA-012
Preguntas Frecuentes
¿Qué diferencia hay entre file carving y recuperación normal?
La recuperación normal usa el sistema de archivos (papelera, metadatos). File carving busca directamente en el disco por firmas de archivo, funcionando incluso cuando el sistema de archivos está dañado o los metadatos han sido eliminados.
¿Se pueden recuperar archivos de un SSD con file carving?
Es muy difícil. Los SSDs con TRIM activado borran físicamente los bloques de datos eliminados para optimizar rendimiento, dejando poco o nada que recuperar mediante file carving.
¿Cuánto tiempo tarda el file carving?
Depende del tamaño del disco y la potencia del equipo. Un disco de 1TB puede tardar entre 4-12 horas para un análisis completo de file carving con múltiples firmas de archivo.
Términos Relacionados
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Autopsy
Plataforma de análisis forense digital de código abierto que permite investigar discos duros, recuperar archivos borrados y analizar evidencia digital mediante una interfaz gráfica intuitiva.
Sleuth Kit
Colección de herramientas forenses de línea de comandos para analizar sistemas de archivos y volúmenes de disco, base sobre la que se construye Autopsy.
TRIM SSD
Comando que notifica al SSD qué bloques de datos ya no están en uso, permitiendo al disco borrarlos físicamente para optimizar rendimiento, lo que hace prácticamente imposible la recuperación forense de archivos eliminados.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita